Nye personvernregler trer i kraft i mai 2018 og vil erstatte dagens regler. Dette gjennom at EUs forordning for personvern, General Data Protection Regulation (GDPR), blir norsk lov.
Alle som håndterer personopplysninger blir berørt. Dette gjelder kommuner, fylkeskommuner, men også kommunalt eide selskaper som håndterer personopplysninger.
Reglene gir virksomhetene nye plikter, og personene man behandler personopplysninger om; de registrerte, får nye rettigheter.
Virksomhetens rutiner for håndtering av personopplysninger må endres, og dette krever ressurser, blant annet må personvern bygges inn i virksomhetens teknologiske løsninger og det blir pliktig å oppnevne en personvernombud (dette gjelder bl.a kommuner og fylkeskommuner og virksomheter som behandler sensitive personopplysninger i stort omfang).
Det er viktig å igangsette arbeidet tidlig, og da først og fremst med en plan for overgangen til de nye pliktene og påse at det avsettes tilstrekkelige ressurser til dette arbeidet.
Hva bør dere gjøre nå?
1. Kartlegge hvilke personopplysninger virksomheten behandler
Alle virksomheter som samler inn eller bruker personopplysninger skal ha oversikt over hvilke personopplysninger det er snakk om, hvor de kommer fra og hva som er det rettslige grunnlaget for behandlingen. Sørg for å ha en slik oversikt. Det er et krav som gjelder også etter dagens lov.
2. Sørg for å oppfylle dagens lovkrav
Overgangen til de nye reglene blir lettere om kravene i dagens personopplysningslov følges. Sørg for gode rutiner for internkontroll som fungerer etter hensikten og er kjent i organisasjonen. Dette gjør det lettere å få oversikt over hva som må endre når det nye regelverket trer i kraft.
3. Sett dere inn i det nye regelverket
Les forordningsteksten (for høringsnotat og uoffisiell norsk versjon av teksten, trykk her). Følg også med på Datatilsynets nettsider. Der fylles det opp med artikler om de nye reglene etter hvert som disse blir utarbeidet.
4. Lag rutiner for å følge de nye reglene
Gjennomgå rutinene for behandling av personopplysninger. Oppdater dem etter nytt regelverk der det trengs. Dokumenter de nye rutinene og legg en plan for nødvendige endringer. Er systemene deres laget for å ivareta kravet til innebygd personvern, dataportabilitet og personvern som standardinnstilling? Klarer dere å fange opp og besvare henvendelser fra borgerne innen én måned?
Datatilsynets har laget en liste over de 10 viktigste endringer som følger av det nye regelverket. Les den her.